梅 維

(寶鋼集團(tuán)新疆八一鋼鐵有限公司數(shù)智辦)

前言

鋼鐵冶金行業(yè)是我國國民經(jīng)濟(jì)的支柱性產(chǎn)業(yè),是技術(shù)、資源、勞動(dòng)力密集型產(chǎn)業(yè)。 更是為國民經(jīng)濟(jì)各行業(yè)提供原材料的重要基礎(chǔ)行業(yè)。 如今在國家大力推進(jìn)信息技術(shù)自主創(chuàng)新、全面優(yōu)化信息產(chǎn)業(yè)結(jié)構(gòu)、深入推動(dòng)鋼鐵行業(yè)“兩化”融合這一時(shí)代戰(zhàn)略背景下,鋼鐵企業(yè)通過信息化建設(shè)及提升改造,改進(jìn)企業(yè)管理效率和經(jīng)營績效,提高智能制造水平,實(shí)現(xiàn)整體競(jìng)爭力的提升。 如何在全面信息化的背景下防范內(nèi)部和外部數(shù)據(jù)對(duì)接時(shí)的泄露、做好企業(yè)商業(yè)秘密文檔安全的防護(hù)工作、確保內(nèi)部商業(yè)秘密不被竊取與外泄,如何實(shí)現(xiàn)企業(yè)員工工作效率與企業(yè)商業(yè)秘密管控之間的有效平衡,如何確定商業(yè)秘密信息,企業(yè)有多少商業(yè)秘密,分別存儲(chǔ)在什么地方,是鋼鐵冶金行業(yè)數(shù)據(jù)安全所亟待解決的問題。

1 鋼鐵企業(yè)商業(yè)秘密數(shù)據(jù)保護(hù)的要求

根據(jù)企業(yè)商業(yè)秘密數(shù)據(jù)保護(hù)要求,需要對(duì)聯(lián)網(wǎng)用戶終端上涉及企業(yè)商密的電子文檔均要做數(shù)據(jù)保護(hù)措施,防止內(nèi)部人員有意或無意造成數(shù)據(jù)泄露。 企業(yè)商業(yè)數(shù)據(jù)需集中安全管理。 商密文檔需統(tǒng)一集中儲(chǔ)存、分級(jí)授權(quán)控制、文件下載存儲(chǔ)與借閱需要統(tǒng)一審批與后臺(tái)登記管理,建立起商密統(tǒng)一的文檔管理體系。 對(duì)鋼鐵冶金行業(yè)常用的業(yè)務(wù)系統(tǒng)進(jìn)行規(guī)范化管理,如OA、EMS、DMS、EMP 等在線應(yīng)用系統(tǒng)都要進(jìn)行嚴(yán)格的上傳、下載加密,防止內(nèi)部數(shù)據(jù)外發(fā)時(shí)發(fā)生泄漏。 只有受控的計(jì)算機(jī)并同時(shí)擁有權(quán)限的用戶才能訪問企業(yè)內(nèi)部應(yīng)用系統(tǒng),如何防止企業(yè)員工調(diào)閱后帶走的可能性,公司的內(nèi)部核心技術(shù)文檔怎么流失到競(jìng)爭對(duì)手那里去了,企業(yè)商密泄密安全事件發(fā)生后,需要一定的手段進(jìn)行審計(jì)和數(shù)據(jù)溯源。

2 終端數(shù)據(jù)的保護(hù)措施

在終端用戶商業(yè)秘密保護(hù)方面,需要實(shí)現(xiàn)拷貝記錄、外發(fā)管理、即時(shí)通信管理、系統(tǒng)行為管理、水印追溯、數(shù)據(jù)偵探、數(shù)據(jù)防泄露、打印機(jī)管控、移動(dòng)介質(zhì)管理等多種數(shù)據(jù)安全保護(hù)策略。 文件加密通過對(duì)商密電子文檔的創(chuàng)建、修改、傳輸、歸檔、分發(fā)、銷毀等全過程的加密或者權(quán)限控制管理,以達(dá)到電子文檔的保護(hù)目標(biāo)。 企業(yè)內(nèi)的重要商業(yè)秘密電子文檔,只能在許可的范圍內(nèi)使用,在沒有經(jīng)過許可的情況下,無論以何種方式脫離應(yīng)用范圍,電子文件都將不可使用,從信息的源頭進(jìn)行商密數(shù)據(jù)的保護(hù)。 終端商密數(shù)據(jù)保護(hù)措施主要有以下幾種:

(1)員工行為管控。 全面監(jiān)控和審計(jì)企業(yè)員工在辦公過程將商業(yè)秘密數(shù)據(jù)另存為、打印、拷貝粘貼、截屏、發(fā)送郵件或使用QQ、微信等即時(shí)通訊工具傳播文件等會(huì)引起的操作行為,并向管理員發(fā)送預(yù)警信息或直接阻斷操作,防止員工泄露企業(yè)信息。 要求共享與傳輸商業(yè)密碼數(shù)據(jù)必須通過私有傳輸平臺(tái)進(jìn)行,如企業(yè)私有云文檔與私有聊天工具,例如八鋼公司全面采取OA 系統(tǒng)內(nèi)嵌寶武云文檔與寶武聊天來處理商密文件。

(2)數(shù)據(jù)安全。 外發(fā)用戶可以根據(jù)用戶授權(quán)設(shè)置外發(fā)策略,需要外發(fā)的文件需要通過審批才允許外發(fā),對(duì)于特別重要的商業(yè)秘密文檔,還可設(shè)置多級(jí)審批。 可以根據(jù)需要對(duì)外發(fā)文件進(jìn)行權(quán)限管控,控制外發(fā)文件的編輯權(quán)限、使用時(shí)間、使用次數(shù)、打印權(quán)限、硬件綁定等措施。

(3)離線辦公。 設(shè)置離線策略,系統(tǒng)就可以在設(shè)定的時(shí)間或日期范圍內(nèi),脫離公司服務(wù)器獨(dú)立運(yùn)行,可以保證數(shù)據(jù)安全可控的同時(shí)滿足員工外出工作無礙,但是在規(guī)定時(shí)間內(nèi)用戶必須與服務(wù)器聯(lián)系,否則文件將無法打開使用。 系統(tǒng)提供脫機(jī)時(shí)間延長策略,通過延長審批后保證外出工作的正常進(jìn)行。

(4)遠(yuǎn)程異地辦公。 公司員工外出可以利用VPN 技術(shù)接入公司辦公服務(wù)器正常辦公,同時(shí)安全方面也實(shí)現(xiàn)數(shù)據(jù)安全可控管理。

(5)數(shù)據(jù)溯源。 利用屏幕水印、文件水印或打印水印技術(shù),對(duì)外傳的截圖圖片和重要文檔進(jìn)行水印標(biāo)記,水印的風(fēng)格可以自定義為明文水印、二維碼水印、點(diǎn)陣水印或隱藏水印,水印可為商密文檔的歸屬提供可靠的證據(jù),有效實(shí)現(xiàn)文件的溯源。

3 業(yè)務(wù)應(yīng)用系統(tǒng)商業(yè)秘密數(shù)據(jù)保護(hù)措施

針對(duì)鋼鐵冶金行業(yè)使用的OA、EMS、ERP、MES、PLM、PSCS 等業(yè)務(wù)系統(tǒng)在線使用,可通過實(shí)施信息系統(tǒng)加密集成模塊對(duì)系統(tǒng)商密數(shù)據(jù)實(shí)施保護(hù),從而防止泄密事件的發(fā)生,主要措施有:

(1)文件上傳自動(dòng)解密。 用戶將加密文件上傳到應(yīng)用系統(tǒng)時(shí),信息系統(tǒng)加密集成模塊會(huì)自動(dòng)解密該文件,保障應(yīng)用系統(tǒng)中存儲(chǔ)的是明文,不影響應(yīng)用系統(tǒng)的正常工作。

(2)文件下載強(qiáng)制加密。 用戶通過應(yīng)用系統(tǒng)下載文件時(shí),信息系統(tǒng)加密集成模塊會(huì)對(duì)下載的文件進(jìn)行落地加密,這些文件只能在加密環(huán)境內(nèi)使用,一旦離開這個(gè)環(huán)境,所有文件無法打開。

(3)應(yīng)用系統(tǒng)訪問控制。 為了防止用戶賬號(hào)被盜,系統(tǒng)內(nèi)的明文數(shù)據(jù)外泄,信息系統(tǒng)加密集成模塊對(duì)請(qǐng)求訪問的終端IP 會(huì)進(jìn)行篩查判斷,非授信的終端無法訪問應(yīng)用系統(tǒng)。 特別是重要商業(yè)數(shù)據(jù)系統(tǒng),可以采取劃分VLAN 方式單獨(dú)組網(wǎng)實(shí)現(xiàn)安全獨(dú)立的訪問策略,從而滿足系統(tǒng)安全訪問要求。

(4)對(duì)商業(yè)秘密數(shù)據(jù)進(jìn)行存儲(chǔ)加密和脫敏控制。 從而降低開發(fā)、運(yùn)維人員通過直接訪問數(shù)據(jù)庫使用數(shù)據(jù)過程中的數(shù)據(jù)泄露風(fēng)險(xiǎn),保護(hù)大數(shù)據(jù)所有者權(quán)益。 通過開發(fā)集成的方式,將第三方加密和脫敏產(chǎn)品集成到平臺(tái)上來,以實(shí)現(xiàn)鋼鐵企業(yè)核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)存儲(chǔ)加密和脫敏的功能。

4 商業(yè)秘密文檔管理措施

(1)商密文檔權(quán)限管理。 使用云文檔管理系統(tǒng)可以高效地完成文檔集中儲(chǔ)存、系統(tǒng)訪問、文件權(quán)限管控、文件在線預(yù)覽、文件在線編輯、文件操作審計(jì)。 從而實(shí)現(xiàn)對(duì)企業(yè)文檔從集中、安全和共享三方面實(shí)現(xiàn)一體化的管理,解決文檔制作、分享與協(xié)作問題。 同時(shí)從全流程編制、傳輸、使用、存儲(chǔ)安全性方面提供符合國資委商業(yè)密碼保護(hù)要求。

(2)商密文檔集中存儲(chǔ)管理。 為用戶搭建一個(gè)電子文檔集中管理的平臺(tái),提供個(gè)人文檔中心和企業(yè)文檔庫管理。 文檔集中存儲(chǔ)在管理系統(tǒng)中,即使本地硬盤損壞,文件丟失,還可以從文檔管理系統(tǒng)(通常企業(yè)采用的OA 系統(tǒng)與云文檔兩者結(jié)合方式)中下載恢復(fù)。

(3)商密文檔安全管理。 提供完善的商密數(shù)據(jù)權(quán)限管理與安全機(jī)制,通過強(qiáng)制訪問控制技術(shù)實(shí)現(xiàn)相關(guān)電子文檔的權(quán)限控制,從系統(tǒng)中下載的文件通過后臺(tái)識(shí)別用戶權(quán)限策略進(jìn)行,無權(quán)限需要審批后方可下載,確保文件的上傳和使用有序進(jìn)行,確保文件的安全性。

(4)商密文檔共享管理。 利用云文檔共享模式,實(shí)現(xiàn)將文檔進(jìn)行內(nèi)部共享和鏈接外發(fā),提高工作效率。 共享文檔可配置使用權(quán)限,包括閱覽、編輯、修改、下載、復(fù)制等權(quán)限,既方便內(nèi)部共享協(xié)作又保證了文檔的安全性,文檔所有者可開啟檢索共享,保證既能被其他用戶全文檢索到,又能便于知識(shí)資產(chǎn)的共享共用。

(5)商密文檔打印管理。 對(duì)于商密核心部門,采用打印機(jī)集中管控方案,實(shí)現(xiàn)信息網(wǎng)商密打印機(jī)的集中管控,打印集中管控系統(tǒng)與公司一卡通對(duì)接,獲取組織、人員、卡戶信息,并通過讀卡服務(wù)用于員工打印刷卡,增強(qiáng)打印數(shù)據(jù)的保密管理。 對(duì)于上外網(wǎng)的終端,采用在現(xiàn)有終端準(zhǔn)入系統(tǒng)上擴(kuò)充終端數(shù)據(jù)防泄漏和移動(dòng)介質(zhì)管理組件,實(shí)現(xiàn)相關(guān)功能。

5 結(jié)束語

黨的十八大以來,習(xí)近平總書記圍繞筑牢國家網(wǎng)絡(luò)安全屏障發(fā)表了一系列重要論述,商業(yè)秘密是企業(yè)的核心競(jìng)爭力,商密保護(hù)是企業(yè)防止不正當(dāng)競(jìng)爭、發(fā)展創(chuàng)新、促進(jìn)高質(zhì)量經(jīng)濟(jì)增長的需要,企業(yè)必須圍繞商密的分類分級(jí)保護(hù)、事前預(yù)防、事中監(jiān)控、事后審計(jì)進(jìn)行全方位保護(hù),從而避免企業(yè)核心利益損失。